企業がDX(デジタルトランスフォーメーション)を推進する中で、業務のデジタル化が進む半面、サイバー攻撃で被害を受けるリスクが増大している。特に企業にとって脅威となっているのがランサムウェア(身代金要求型ウイルス)だ。
近年では暗号化とともに、「盗み取ったデータのリークサイト上での暴露」を脅迫材料に身代金を要求する「二重脅迫型」のランサムウェアの被害が増えている。
ランサムウェアの悪質化を受けて、グローバルセキュリティエキスパート(GSX)とブロードバンドセキュリティ(BBSec)は8月24日、ウェビナーを共同開催。近年のランサムウェアの実態と企業と経営者が取るべき対策について、サイバーセキュリティの専門家が意見を交わした。
RaaSによりランサムウェア攻撃がスキーム化
ウェビナーでは、まず、八雲法律事務所 代表弁護士の山岡裕明氏が「個人情報保護法とサイバーセキュリティ法制度のランドスケープ」と題して基調講演を行った。
ランサムウェアの増加の背景には、「RaaS(Ransomware as a Service)の普及によるランサムウェア攻撃のビジネス化・スキーム化がある」と山岡氏は指摘する。
RaaSはスキルがないハッカーでもランサムウェア攻撃が容易に行えるよう開発されたソフトウェアサービスだ。これまでランサムウェアを用いて攻撃を実行してきたハッカーが開発しているとされており、「Developer」(デベロッパー)と呼ばれるソフトウェアの提供者がダークウェブ上で「Affiliator」(アフィリエイター)という実行犯を募って、企業にランサムウェアによる攻撃を仕掛けているという。
「あるロシア系のハッカー集団は、1億円相当を費やしてAffiliator を募っていた。Developerはランサムウェアとその使い方をまとめた“マニュアル”をお膳立てしてくれるので、あとは企業のVPNやグループウェアのID・パスワードがあれば容易にサイバー攻撃を仕掛けられる。だから、世の中では企業の認証情報が求められ、不正売買が盛んに行われている」と山岡氏は語る。
「身代金は支払うべきではない」と言える3つのリスク
ランサムウェアの被害に遭った場合、どうすればいいのか? 山岡氏は経済的リスク、リーガルリスク・コンプライアンスリスク、効果が保証されないリスクの観点から「基本的に支払うべきではない」とする。ハッカーの身代金要求額は高騰しており、直近では数億円から数十億円規模になっている。また、ハッカー集団への身代金の支払いは、その先の違法行為の助長につながりかねず、身代金を支払ったからといって約束(データ複合やデータ流出の中止など)が守られるとも限らない。
一方で、電気・水道、石油といった社会インフラや医療システムに間接的に影響が及んでしまったり、取引先の機密情報や個人のセンシティブな情報が人質になってしまったりと、極限状態で支払わない判断を下すのは難しい。
万が一、身代金を支払わざるを得ない場合は、各国のレギュレーション、役員の善管注意義務と経営判断原則、適時開示、改正個人情報保護法に留意しつつ、適法性や合理性、情報開示の必要性を考慮し、関係各所への報告義務も満たす必要がある。
しかし、最も大切なのは、「ランサムウェアによる攻撃を防御するには、どうすべきか?」だろう。山岡氏は「万能な解決策はない」と前置きつつ、メールや認証情報における重点対策と周知徹底のほか、有事における方針を定めたインシデント・レスポンスポリシーの策定、サイバー保険の活用を推奨する。
「不審なメールを事前に排斥するサービスを活用し、不審なメールのタイプとその対応を周知徹底するなどはもちろん、認証情報は定期的に変更したり二段階認証を徹底したりと基本的な対策をおろそかにしないことが重要だ。自社の認証情報が販売されていないかのモニタリングも有効だろう」(山岡氏)